- label Kyberbezpečnost
- remove_red_eye 201 zobrazení
Nasazování malwaru wiper v roce 2022 stoupá, což je trend, který odhaluje znepokojivý vývoj destruktivnějších a sofistikovanějších útoků. Termín „wiper“ označuje nejzákladnější operaci malwaru, kterou je vymazání dat počítače oběti (data disku, operační systém nebo dokonce firmware). Wiper malware je šířeji označován jako škodlivý software, který se snaží smazat data.
Jedná se o silné útoky, pokud jde o škody které mohou způsobit, a proto je životně důležité mít nad takovým vývojem přehled. Se správným know-how a správnými nástroji mohou bezpečnostní týmy zajistit, že jsou v této bitvě posíleny.
Malware wiperů na vzestupu, podpořený rusko-ukrajinskou válkou
Útočníci v důsledku války na Ukrajině mnohem častěji používali malware pro mazání disku k cílení na životně důležitou infrastrukturu. V první polovině roku 2022 identifikovaly laboratoře FortiGuard nejméně sedm významných nových variant tohoto typu malwaru, které byly nasazeny v několika kampaních proti vládním, vojenským a komerčním institucím. Skutečnost, že se toto číslo tak blíží celkovému počtu variant wiperů, které byly objeveny od roku 2012, je relevantní – a znepokojující.
Mnoho členů bezpečnostní komunity se domnívá, že za mnoha útoky wiperů na Ukrajině v první polovině roku 2022 stály organizace podporující ruské vojenské cíle, i když ne vždy to dokázali s jistotou potvrdit. CaddyWiper je jedním příkladem, varianta, která byla použita krátce poté, co válka začala mazat data a informace o oddílech z disků v systémech patřících malému počtu ukrajinských organizací.
Mezi další iterace stěračů patří IsaacWiper, malwarový nástroj pro přepisování dat na diskových jednotkách a připojeném úložišti, aby byly nepoužitelné; WhisperGate, wiper, o kterém Microsoft zjistil, že byl používán při útocích proti ukrajinským subjektům v lednu 2022; a HermeticWiper, nástroj pro vyvolání selhání spouštění, který SentinelLabs zjistil, že se používá při podobných útocích. WhisperKill, DoubleZero a AcidRain byly další tři wipery, které jsme viděli v první polovině roku 2022, zaměřené na ukrajinské podniky a infrastrukturu.
Důsledky malwaru wiper
Bylo překvapivé vidět počet takových útoků, které se rozšířily i do jiných zemí, jak se to stalo v minulosti, když v regionu došlo k násilí. Od začátku konfliktu v únoru 2022 jsme našli více malwaru pro wipery v zahraničí než na Ukrajině. Během první poloviny letošního roku byla aktivita wiperů objevena ve 24 zemích kromě Ukrajiny.
Jedním z takových případů je AcidRain – wiper, který měl zamířit na ukrajinského poskytovatele satelitních širokopásmových služeb, ale byl také použit při útoku, který odstavil asi 6 000 větrných turbín v Německu. Útoky jako tyto ukazují schopnost překračovat hranice, ať už jsou geografické nebo související s IT/OT.
Neočekávaný nárůst malwaru wiperů je pro bezpečnostní týmy IT problematický. Ačkoli zatím nebylo mnoho detekcí, vlastnosti malwaru a způsob, jakým jej aktéři hrozeb nasazují, činí tuto kategorii obzvláště nebezpečnou, takže bezpečnostní týmy ji musí hledat.
Čtyři osvědčené postupy pro boj s hrozbou
Organizace mohou a měly by využívat řadu osvědčených postupů ke zmírnění účinků malwaru wiperů:
- Segmentace: Efektivní segmentace sítě je užitečná několika způsoby. Může například omezit účinky útoku na určitou oblast sítě. Kromě toho mohou brány firewall identifikovat komunikaci se známými příkazovými a řídicími servery, pohyb škodlivých souborů v síti a šíření malwaru, pokud se používají ve spojení s antivirovými systémy a systémy prevence narušení.
- Zálohování: Mít k dispozici zálohy je nejlepší obranou proti ransomwaru a virům wiperů. Malware často aktivně hledá zálohy v systému nebo v síti (například stínová kopie Windows), aby je mohl vymazat. Aby bylo možné odolat sofistikovaným útokům, musí být zálohy uchovávány offline a mimo pracoviště. Při diskuzi o zálohách je nutné poznamenat, že jejich existence je klíčová, ale také důkladný proces obnovy. Aby se zkrátily prostoje, musí tým IT navíc pravidelně procvičovat obnovu ze zálohy.
- NDR: Aby se minimalizoval dopad útoků wiperů, je užitečná detekce a odezva sítě (NDR) s umělou inteligencí (AI) s automatickým učením, aby bylo možné lépe detekovat narušení.
- Nácvik reakce na incident a penetrační testování: Účinnost reakce na incident, jak z hlediska rychlosti, tak kvality, může mít významný vliv na to, jak útok dopadne. Způsob, jakým tým pro reakci na incidenty zachází s útokem a jak na něj reaguje, může znamenat rozdíl mezi úspěšnou prevencí ztráty dat a úplným vymazáním dat v případě, že je proniknutí odhaleno před nasazením malwaru wiperů. Člověk by měl provádět pravidelná cvičení, aby pochopil schopnosti reagovat na tyto incidenty. Jak rychle se mohou týmy zotavit? Existují nějaké slabiny?
- Plán obnovy po havárii: Jak dobře je organizace připravena na to, co se stane po nasazení wiperu v síti? Jaké postupy byly zavedeny pro kontinuitu podnikání bez IT? Jak bude organizace obnovovat data ze záloh a informovat zákazníky a veřejnost o incidentu? Všechny tyto taktiky je třeba určit před útokem. To vše a ještě více by měl specifikovat plán obnovy po havárii, který bude užitečný pod obrovským tlakem aktivního kompromisu.
Boj proti zločinu bez hranic
V první polovině roku 2022 jsme byli svědky nárůstu nasazení wiperů souběžně s rusko-ukrajinskou válkou. Ale tyto škodlivé kódy nezůstávají na jednom místě. Množí se po celém světě, protože skutečně neexistují žádné hranice, pokud jde o kyberzločinecké aktivity. To znamená, že musíte mít neustále aktuální informace o hrozbách a dodržovat osvědčené postupy, jako jsou ty, které jsou uvedeny výše. Ty pomohou předejít katastrofě vymazaného pevného disku.
Autor původního článku: Douglas Jose Pereira dos Santos
Překlad: Ondřej Strachota
